Données personnelles : de grandes responsabilités pour un petit bouton « J’aime »

L’insertion d’un petit bouton « J’aime » peut être synonyme de grandes responsabilités pour les gestionnaires de sites Internet.

C’est le sens d’un arrêt que la Cour de justice de l’Union européenne a rendu ce 29 juillet 2019.

À l’origine du dossier, des poursuites engagées en Allemagne par l’association de défense des consommateurs Verbraucherzentrale NRW.

La plainte vise l’entreprise Fashion ID. Celle-ci avait intégré, sur son site de vente de vêtements de mode, un bouton « Like ».
Il est apparu que ledit bouton permettait la collecte de données personnelles auprès de quiconque consultait le site. Ces données étaient ensuite transmises à la filiale irlandaise de Facebook, sans que l’internaute soit averti… et qu’il soit ou non membre du réseau social.

Le litige était remonté jusqu’au tribunal régional supérieur (Oberlandsgericht) de Düsseldorf. Lequel avait présenté, début 2017, une demande de décision préjudicielle à la CJUE.

Cette dernière ne s’est pas appuyée sur le RGPD, pas encore en vigueur au moment des faits constatés. Elle s’en est tenue au précédent texte de référence, à savoir la directive de 1995.

Sa première conclusion : la directive n’empêche pas une association telle que Verbraucherzentrale NRW d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel*.
Fashion ID prétendait pour sa part que le texte n’envisageait des voies de droit qu’en faveur des personnes concernées et des autorités compétentes.

Les pages Facebook aussi

Qu’en est-ilt des obligations de Fashion ID eu égard au bouton « Like » ? La CJUE estime que l’entreprise allemande ne peut être perçue comme responsable des opérations de traitement que Facebook réalise une fois que les données lui sont communiquées. La raison : elle ne détermine ni les finalités, ni les moyens de ces opérations.

Fashion ID doit, en revanche, être considéré comme coresponsable des opérations de collecte et de transmission des données personnelles à Facebook.
Sur ce point, la CJUE met notamment en avant l’intérêt commercial des deux parties. Fashion ID implémente sciemment le bouton « Like », qui lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur Facebook.

L’arrêt fait aussi référence à une décision similaire du 5 juin 2018. L’administrateur d’une page Facebook avait été jugé coresponsable du traitement de données personnelles.
Et la CJUE d’ajouter qu’une responsabilité conjointe ne présuppose pas que chacune des parties ait accès aux données personnelles concernées.

Dans ce contexte, Fashion ID doit fournir aux visiteurs de son site des informations relatives aux opérations de traitement dont il est coresponsable. Et disposer, pour y procéder, d’une base légale. Typiquement, le consentement.

* La CJUE relève en outre que le RGPD donne désormais explicitement cette possibilité.

Photo d’illustration © Burak Kaynak – licence CC BY-NC-SA 4.0